Häufig gestellte Fragen zur Verwendung von OpenID Connect in Portalen
Hinweis
Ab 12. Oktober 2022 ist Power Apps-Portale Power Pages. Weitere Informationen: Microsoft Power Pages ist jetzt allgemein verfügbar (Blog)
Wir werden die in Kürze migrieren und die Dokumentation für Power Apps-Portale mit der Power Pages-Dokumentation zusammenführen.
Dieser Artikel enthält Informationen zu Common Power Apps Portalszenarien und häufig gestellten Fragen zur Verwendung eines Authentifizierungsanbieters, der den OpenID Connect-Spezifikation entspricht.
Benötige ich OpenID Connectvzur automatischen Ermittlung für die Integration in Portalen?
Ja. Das Dokument zur automatischen Ermittlung (auch bekannt als /.well-known/openid-configuration) wird für die Integration in Portalen benötigt. Die in diesem Dokument enthaltenen Informationen werden von Portalen verwendet, um Autorisierungsanforderungen zu erstellen und die Authentifizierungstoken zu überprüfen.
Wenn Ihr Identitätsanbieter dieses Dokument nicht bereitstellt, können Sie es manuell erstellen und an einem beliebigen öffentlichen Speicherort (einschließlich Ihres Portals) hosten.
Hinweis
Ähnlich wie im Ermittlungsdokument muss der Identitätsanbieter auch einen öffentlichen JWKS URI-Endpunkt bereitstellen, in dem die öffentlichen Schlüssel verfügbar sind, um die Signatur des ID-Tokens zu bestätigen. Dieser Endpunkt muss im Beleg für die Suche als Schlüssel jwks_uri angegeben werden.
Unterstützen Portale acr_values Anfrageparameter in den Authentifizierungsanfragen?
Nein. Portale unterstützen keine acr_values Abfrageparameter in Autorisierungsanfragen. Die Portale Funktion unterstützt jedoch alle erforderlichen —und empfohlenen —Anfrageparameter, die in der OpenID Connect Spezifikation definiert sind.
Die folgenden optionalen Parameter werden unterstützt:
- Antwort_Modus
- Nonce
- UI_Locales
Unterstützen Portale angepasste Scope-Parameter in Authentifizierungsanfragen?
Ja. Benutzerdefinierte Bereichsparameter können mithilfe der Bereichsoption während der Konfiguration angegeben werden.
Warum zeigt der Wert Benutzername im Kontaktdatensatz, oder externen Identitätsdatensatz in Dataverse, einen anderen Wert an als den, den der Benutzer auf der Anmeldeseite eingegeben hat?
Das Feld Benutzername im Kontaktdatensatz und im externen Identitätsdatensatz zeigt den Wert an, der entweder im Unteranspruch oder im Objekt_ID (OID) Anspruch gesendet wurde (für Azure AD–basierte Anbieter). Dies liegt daran, dass der Unteranspruch den Bezeichner für den Endbenutzer darstellt und von dem Identitätsanbieter (IDP) als eindeutig garantiert wird. Ein OID-Anspruch (wenn die Objekt-ID ein eindeutiger Bezeichner für alle Benutzer in einem Mandanten ist) wird bei Verwendung mit einem Azure AD–-basierten Anbieter mit einem Mandanten unterstützt.
Unterstützen Portale die Abmeldung vom OpenId Connect–-basierten Anbieter?
Ja. Die Portale unterstützen die Front-Channel-Abmeldetechnik, um sich sowohl von der Anwendung als auch von den OpenId Connect–-basierten Anbietern abzumelden.
Unterstützt Portale einmaliges Abmelden?
Nein. Portale unterstützen nicht die Single Logout-Technik für OpenID Connect–-basierte Anbieter.
Benötigen Portale einen bestimmten Anspruch an ID-Token*?
Zusätzlich zu allen erforderlichen Ansprüchen benötigen Portalfunktionen einen Anspruch, der die E-Mail-Adresse der Benutzer in ID-Token darstellt. Dieser Anspruch muss email, emails oder upn benannt werden.
Abgesehen von allen erforderlichen Ansprüchen benötigt Portale einen Anspruch, der die E-Mail-Adresse der Benutzer in id_token darstellt. Dieser Anspruch muss entweder als „E-Mail“, „E-Mails“ oder als „upn“ benannt werden.
Diese Ansprüche werden in der folgenden Prioritätsreihenfolge bearbeitet, um sie als Primäre Email-Adresse des Kontaktdatensatzes in Dataverse festzulegen.
- E-Mails
- upn
Bei Verwendung wird „emailclaimsmapping“ auch zur Suche nach einem vorhandenen Kontakt (Feld „Primäre E-Mail-Adresse“ in Dataverse) verwendet.
Kann ich mit JavaScript auf Token (ID oder Zugriff) zugreifen?
Nein. Das vom Identitätsanbieter bereitgestellte iID-Token wird auf der Clientseite nicht durch eine Standardtechnik verfügbar gemacht. Es wird nur zu Authentifizierungszwecken verwendet. Wenn Sie jedoch den impliziten Genehmigungsflow verwenden, können Sie die von Ihrem Identitätsanbieter bereitgestellten Methoden verwenden, um Zugriff auf ID- oder Zugriffstoken zu erhalten.
Zum Beispiel stellt Azure AD die Microsoft Authentifizierungs-Bibliothek zur Verfügung, um dieses Szenario in Clients zu erreichen.
Kann ich einen benutzerdefinierten OpenID Connect-Anbieter anstelle von Azure AD verwenden?
Ja. Portale unterstützt jeden OpenID Connect-Anbieter, der den Standard unterstützt OpenID Connect-Spezifikationen.
Siehe auch
Einen OpenID Connect-Anbieter für Portale konfigurieren
Hinweis
Können Sie uns Ihre Präferenzen für die Dokumentationssprache mitteilen? Nehmen Sie an einer kurzen Umfrage teil. (Beachten Sie, dass diese Umfrage auf Englisch ist.)
Die Umfrage dauert etwa sieben Minuten. Es werden keine personenbezogenen Daten erhoben. (Datenschutzbestimmungen).
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für